Поделиться
Mt cloud представила сервис CPT для контроля уязвимостей во внешнем периметре
Российский облачный провайдер mt cloud объявил о запуске сервиса для непрерывной проверки защищенности внешней ИТ-инфраструктуры — Continuous Penetration Testing (CPT). Сервис позволяет компаниям выполнить требования ФСТЭК России в соответствии с ранее утвержденной методикой оценки критичности уязвимостей программных, программно-аппаратных средств, а также организовать комплексный процесс управления уязвимостями.
Уязвимости и ошибки конфигурации на внешнем периметре остаются одним из ключевых путей проникновения в ИТ-инфраструктуру. Сегодня этот риск многократно усиливается: атаки стали массовыми и автоматизированными, а сама инфраструктура — распределенной и сложной. Из-за микросервисов, DevOps-подходов, тестового контура и работы с подрядчиками периметр становится более динамичным и трудным для инвентаризации. В этих условиях эпизодические проверки создают лишь иллюзию защищенности, а нерешенные проблемы накапливаются, превращая угрозы в реальные инциденты.
Рынок смещается в сторону модели регулярной многократной проверки каждого домена и IP-адреса. Новый сервис CPT переводит контроль внешнего периметра в этот режим непрерывного мониторинга. Его архитектура покрывает полный цикл разведки и атак на внешний периметр: сетевая разведка – поиск активов (Subfinder), рекурсивный поиск доменов (Amass, dnsrecon) и проверка на возможность угона доменов (Subjack); инвентаризация периметра – высокоскоростное сканирование портов (Masscan до 1 млн SYN-пакетов/с) с последующим определением версий сервисов (Nmap + custom probes); поиск технических уязвимостей – запуск эксплойтов (NSE, NASL), сверка с базами NIST и CVEdetails, а также тестирование на слабые пароли (Hydra, Patator); анализ веб-приложений – автоматическое построение карты приложения (Katana), перебор директорий (Dirsearch), анализ CMS (Magescan), проверка заголовков безопасности (Securityheaders), выявление WAF и поиск уязвимостей по базам OWASP Top-10 (ZAP) и Nuclei; визуализация – автоматическая съемка скриншотов всех активных веб-сервисов для быстрой оценки «живых» точек входа.
CPT автоматизирует контроль внешнего периметра в режиме 24/7. Сервис находит все доступные из интернета ресурсы компании, проверяет открытые порты и контролирует их соответствие разрешенному списку. Он выявляет отсутствующие обновления ПО, ошибки конфигурации веб-фреймворков, ведущие к утечкам данных, и ранжирует уязвимости по степени опасности. Полное сканирование всех активов занимает не более 8 часов вне зависимости от объёма инфраструктуры. Сервис выполняет автоматическую валидацию найденных уязвимостей с формированием PoC-сценариев (скрипты для curl, docker). Процесс валидации не только подтверждает возможность практической эксплуатации уязвимостей, но и сводит к минимуму количество ложных срабатываний. В итоге отчет перестает быть формальным списком CVE и становится понятным рабочим инструментом для команды.
Виктор Виноградов, директор по информационной безопасности mt cloud, сказал: «Уязвимости и ошибки конфигурации на периметре являются одним из основных векторов проникновения в ИТ-инфраструктуру компаний. Регулярное сканирование внешнего периметра позволяет оперативно выявлять уязвимости и устранять их до того, как ими воспользуются злоумышленники. При этом сканирование должно успевать за изменениями быстро меняющейся инфраструктуры, обеспечивать полное покрытие внешней поверхности атаки с помощью единого сервиса и корректно работать с отечественным ПО и нестандартными протоколами. Важно также подтверждать найденные уязвимости и предоставлять командам подробную информацию, связанную с ними, — тогда отчет становится реальным рабочим инструментом».
Короткая ссылка
